Windows system >> Conocimiento de Windows >  >> Tutorial del sistema de Windows XP >> Acerca de XP System Tutorial

Permisos y herencia de las reglas de restricción de software en la Política de grupo de Windows

  

Para la Política de grupo de Windows, quizás todos estén usando más funciones en "Plantillas administrativas". Para la "estrategia de restricción de software" creo que no muchos amigos lo han usado.

Si la estrategia de restricción de software es buena, creo que se puede comparar con algún software HIPS. Si combina los permisos NTFS y los permisos de registro, puede implementar completamente la configuración de seguridad completa del sistema. Al mismo tiempo, debido a que esta es una función integrada del sistema, se integra perfectamente con el sistema y no ocupa recursos adicionales de CPU y memoria. El fenómeno de la incompatibilidad, ya que se encuentra en la parte inferior del sistema, su capacidad de intercepción no es comparable con otro software. El inconveniente es que su configuración no es flexible e inteligente, y no se lo preguntará al usuario. Echemos un vistazo completo a la estrategia de restricción de software.

Esta serie de artículos se centrará en los siguientes aspectos:

· Descripción general
· Reglas adicionales y niveles de seguridad
· Prioridad de la política de restricción de software
· Asignación y herencia de reglas
· Cómo escribir reglas
· Reglas de ejemplo

Hoy presentamos la asignación de derechos y la herencia de las reglas de restricción de software en la Política de grupo de Windows.

Una de las premisas de la explicación aquí es: Supongamos que su tipo de usuario es un administrador.

En ausencia de una política de restricción de software, si el programa a inicia el programa b, a es el padre de b, yb hereda la autoridad de a.

Ahora establezca a como usuario básico, b no limita (ponga b para que no esté restringido o no establezca el mismo efecto en b) y luego comience con b, entonces el permiso de b hereda de a, También es un usuario básico, a saber:

a (usuario básico) - > b (no restringido) = b (usuario básico)
Si b está configurado como usuario básico, a no limita, a a Después de iniciar b, b sigue siendo el derecho básico del usuario, es decir,
a (sin restricciones) - > b (usuario básico) = b (usuario básico)

se puede ver, un programa Los permisos finales que se pueden obtener dependen de: los permisos del proceso principal y el nivel mínimo de los permisos definidos por las reglas, que es lo que llamamos el principio de permisos mínimos.

Por ejemplo:
Si establecemos IE como un usuario básico Cuando se activa el nivel, los permisos de cualquier programa ejecutado por IE no serán superiores al nivel de usuario básico y solo podrán ser inferiores. Por lo tanto, puede lograr el efecto de prevenir el problema de la red: incluso si IE descarga el virus y lo ejecuta, el virus no puede realizar cambios dañinos en el sistema debido a las restricciones de permisos. Si lo reinicia, el virus solo tendrá el cuerpo muerto.

Incluso, también podemos hacer que IE no pueda descargar y ejecutar el virus a través de la configuración de permisos de NTFS, sin darle ninguna posibilidad al virus.

Aquí, echemos un vistazo a los permisos NTFS (los permisos aquí son permisos NTFS, independientemente de las reglas). Todos los permisos de NTFS son los siguientes:
Recorrer la carpeta /ejecutar el archivo (la carpeta de recorrido puede ignorarse, principalmente "ejecutar archivo", si no existe tal permiso, no se puede iniciar el archivo, que es equivalente a la aplicación en ejecución de AD)
Permitir O rechace una solicitud de que el usuario se desplace por toda la carpeta para llegar a otros archivos o carpetas, incluso si el usuario no tiene permiso para atravesar la carpeta (solo para carpetas).

Listar carpeta /Leer datos
Permitir o denegar a los usuarios la solicitud para ver los nombres de los archivos y los nombres de las subcarpetas en la carpeta especificada. Solo afecta el contenido de la carpeta, no si la lista para la cual estableció los permisos está en la lista (solo para carpetas).

Atributos de lectura
Capacidad para permitir o denegar la visualización de datos en un archivo (se aplica solo a los archivos).

Leer atributos ampliados
Permite o deniega solicitudes de los usuarios para ver atributos de archivos o carpetas, como de solo lectura y ocultos. El atributo está definido por NTFS.

Crear archivo /escribir datos
"Crear archivo" permite o deniega la creación de un archivo en una carpeta (solo para carpetas). Escribir datos permite o niega la capacidad de modificar archivos y sobrescribir contenido existente (se aplica solo a archivos).

Crear carpeta /Anexar datos
"Crear carpeta" permite o niega la solicitud del usuario para crear una carpeta en la carpeta especificada (solo para carpetas). Agregar datos permite o niega la posibilidad de realizar cambios en el final de un archivo sin cambiar, eliminar o sobrescribir datos existentes (solo archivos).

Atributos de escritura
Permitir o negar a los usuarios la capacidad de realizar cambios en el final de un archivo sin cambiar, eliminar o sobrescribir datos existentes (solo archivos). Operación de escritura.

Escribir atributos extendidos
Permitir o denegar a los usuarios las solicitudes para cambiar las propiedades de archivos o carpetas, como de solo lectura y ocultas. El atributo está definido por NTFS.

Eliminar subcarpetas y archivos
Permite o niega la capacidad de eliminar subcarpetas y archivos, incluso si no se asignan permisos de "eliminación" a subcarpetas o archivos (para carpetas).

Eliminar (la diferencia con lo anterior es que, además del subdirectorio y sus archivos, también incluye el directorio)
Permitir o negar a los usuarios la solicitud de eliminar subcarpetas y archivos, incluso subcarpetas o archivos No hay un permiso de "eliminación" asignado (para carpetas).

Permisos de lectura (vista de permisos NTFS)
Permite o deniega solicitudes de los usuarios para leer permisos de archivos o carpetas (como Control total, Lectura y Escritura).

Cambiar permisos (modificación de los permisos NTFS)
Permitir o negar a los usuarios la capacidad de cambiar los permisos de archivos o carpetas (como Control total, Lectura y Escritura).

Tomar posesión
Permitir o denegar la propiedad de un archivo o carpeta. El propietario de un archivo o carpeta siempre puede cambiar sus permisos independientemente de los permisos existentes utilizados para proteger el archivo o carpeta.

Bajo los permisos NTFS predeterminados del sistema, el usuario básico solo tiene que atravesar la carpeta /archivo de ejecución, listar la carpeta /leer el atributo, leer el atributo extendido y leer el derecho para el directorio windows \\ program files. Los permisos, para el directorio de documentos y configuraciones, solo tienen control total sobre todos sus directorios, ¿otros directorios son de solo lectura?

Los usuarios básicos y los usuarios restringidos mencionados en nuestras reglas son básicamente equivalentes al grupo de USUARIOS en permisos NTFS, pero los usuarios restringidos están sujetos a más restricciones, independientemente de los permisos NTFS, siempre están sujetos a Limitación


Acerca de XP System Tutorial
Conocimiento de Windows
La razón por la que la conexión local desaparece del escritorio de la computadora es un gran inventario

Ninguna conexión local o pérdida de conexión local es un tipo común de falla de la computadora. No h
Letra de unidad de sistema de gestión planificada (2)

Si su computadora está conectada a la red, también puede asignar una letra de unidad a la carpeta co
¿Cómo verificar la configuración de la computadora del sistema Windows XP?

Si se está preparando para comprar una computadora, o ha comprado una computadora nueva, pero desea

¿Cómo configura el sistema WinXP el estilo del menú de inicio?

Bajo el sistema WinXP, hay dos estilos del menú de inicio. El uso a largo plazo de un estilo de menú
WinXP: Obtener permisos

Si el usuario con el que ha iniciado sesión en el sistema tiene restricciones de permisos, cuando ne
Cómo usar el software para reparar los sectores defectuosos del disco duro

Las carreteras defectuosas son como estar al acecho en el agujero negro del disco duro, si los datos
  • Habilidades de aplicación del sistema XP
  • Fundamentos del sistema XP
  • Preguntas frecuentes de XP
  • Acerca de XP System Tutorial

    • El administrador de tareas del sistema Win8 está deshabilitado, cómo hacer que el administrador de tareas del sistema win8 esté deshabilitado solución

    ¿Qué puedo hacer si no puedo usar las teclas de acceso directo para cerrar el touchpad en mi computadora win7?

    ¡El tiempo de arranque más rápido para Windows 7 es de solo 11 segundos!

    Introducción de Win8 Computer SoftwareDistribution Folder

    Cómo abrir y cerrar permisos de lectura y escritura de archivos FSO en Windows

    Enseñar win7 para desactivar la animación de arranque, un gran aumento

    Deje que el sistema Windows XP se active de una vez por todas

    Win7 32 bits de la capacidad de memoria 4G

    Sugerencias de Windows 7 para activar o desactivar el firewall

    Resolver el disco U "No se puede detener el dispositivo de volumen universal"

  • Tutorial del sistema de Windows XP
  • Tutorial del sistema de Windows 7
  • Tutorial del sistema de Windows 8
  • Tutorial del sistema de Windows 10
  • Tutorial del sistema de Windows 2003
  • Tutorial del sistema de Windows 2008
  • Tutorial del sistema de Windows Vista
  • Síntesis de Windows Tutorial
  • Tutorial del sistema de Windows Server
  • Tutorial del sistema Linux
  • Tutorial de software de computadora
  • Tutorial de Windows NT
    • Copyright © Conocimiento de Windows All Rights Reserved